Heute ist der 8.07.2026 und wir blicken auf eine beunruhigende Entwicklung in der Welt der Cyber-Sicherheit, die sich um die Kryptowährung Ethereum dreht. Sicherheitsforscher warnen vor einer neuen Generation von Phishing-Angriffen, die nicht nur psychologische Tricks nutzen, sondern auch legitime Fernwartungstools zum Einsatz bringen. Diese raffinierte Angriffsmethode beginnt oft mit einer harmlos wirkenden Phishing-Mail, die als Mitarbeiterumfrage getarnt ist. Darauf folgt ein Anruf über Microsoft Teams, bei dem sich der Angreifer als IT-Support ausgibt. Das Besondere daran? Der Angreifer verwendet einen externen Account, der wie eine interne Helpdesk-Nummer aussieht, um das Vertrauen des Opfers zu gewinnen. Wenn das Opfer überzeugt wird, die Fernsteuerung seines Computers zu erlauben, hat das Unheil bereits begonnen.

Einmal im System, installiert der Angreifer legitime Fernwartungssoftware wie HopToDesk oder AnyDesk. Von hier aus wird der EtherRAT, ein Trojaner, der auf Node.js basiert, eingeschleust. Er nutzt Ethereum-Smart-Contracts für seine Kommando- und Kontrollinfrastruktur, was die Nachverfolgbarkeit der Angreifer erheblich erschwert. Eine Analyse befallener Systeme zeigt, dass spezifische Dateien während der Fernwartungssitzung erstellt werden. Besonders alarmierend ist, dass ein offenes Verzeichnis mit verschiedenen Versionen von EtherRAT entdeckt wurde, dessen letzte Aktualisierungen von Ende Juni 2026 stammen. Diese Cyber-Angriffe scheinen nicht nur einen Einzelfall darzustellen, sondern sind Teil einer größeren Welle von Bedrohungen, die die digitale Landschaft beeinflussen. Quelle.

Die Verflechtung von Malware und KI

Parallel zu diesen Entwicklungen wurde eine Spear-Phishing-Kampagne auf die russische Luft- und Raumfahrtindustrie aufgedeckt. Hier gaben sich die Angreifer als Mitarbeiter des VNIIR-Instituts aus und verschickten gefälschte Rechnungen in passwortgeschützten Archiven. Um den Zugang zu den Systemen zu gewährleisten, installierte der Dropper eine portable Version von AnyDesk für unbeaufsichtigten Zugriff. Die Datenexfiltration erfolgt dann über Blat SMTP, ein Tool zum Versenden von E-Mails. Ein weiteres perfides Instrument ist der Tray Minimizer, der die Fernwartungssoftware vor dem Nutzer versteckt. Die Persistenz im System erreicht der Angreifer durch einen geplanten Task, der irreführend den Namen „Auto apdate“ trägt.

Doch das ist noch nicht alles. Die Taktik wird mit der Gruppe Rare Werewolf, auch bekannt als Librarian Ghouls, in Verbindung gebracht. Ein weiterer Akteur, die Gruppe Armored Likho, nutzt KI-generierte Malware, um den BusySnake-Stealer zu platzieren. Diese Malware überwacht die Zwischenablage und stiehlt Browser-Zugangsdaten sowie Kryptowährungs-Schlüssel. Ein neuer Betrugstrend, der ClickFix-Betrug, richtet sich gegen Windows- und macOS-Nutzer und fordert die Opfer auf, einen Code zu kopieren, was letztlich die Installation von Malware auslöst. Auf macOS wird der AMOS-Stealer installiert, während Windows-Nutzer mit Tools zum Diebstahl von Session-Tokens konfrontiert werden.

Ein Blick in die Zukunft der Cyber-Bedrohungen

Die ständigen Veränderungen in der Bedrohungslandschaft sind alarmierend. Forscher dokumentieren das Ende mehrerer langlebiger Kampagnen. Eine bemerkenswerte Phishing-Aktion gegen Meta for Business-Nutzer über Facebook-Messenger-Chatbots war von November 2025 bis Ende Juni 2026 aktiv, bevor Meta die Infrastruktur der Angreifer störte. Diese Angreifer hatten einen gekaperten Chatbot genutzt, um ihre Ziele zu erreichen. Währenddessen läuft die PolinRider-Kampagne weiter, bei der nordkoreanische Angreifer gezielt Open-Source-Entwickler ins Visier nehmen. Sie kompromittieren GitHub-Repositories und schleusen bösartige JavaScript-Loader in Paketmanager wie NPM und Go ein. Die Frage bleibt: Wie wird sich diese dynamische und gefährliche Landschaft weiterentwickeln?

Werbung
Hier könnte Ihr Advertorial stehen
Ein Advertorial bietet Unternehmen die Möglichkeit, ihre Botschaft direkt im redaktionellen Umfeld zu platzieren